我已将 ProFTPD 配置为记录Plesk驱动的服务器上的所有身份验证。默认情况下,此设置未设置为Plesk 10(为什么......)。我想配置fail2ban,以检测Brute Force预防的登录尝试失败。
/etc/proftpd.include:
ExtendedLog /var/log/proftpd/auth.log AUTH auth
LogFormat auth "%v [%h] %s"
登录失败的示例(530):
/var/log/proftpd/auth.log:
ProFTPD [12.89.47.3] 331
ProFTPD [12.89.47.3] 530
fail2ban的正确正则表达式是什么?我的配置似乎与模式不匹配:
/etc/fail2ban/filter.d/proftpd.conf:
failregex = ProFTPD(.)+\[<HOST>\] 530$
<HOST>似乎是一个fail2ban变量,而$最终会成为规则(如果您想在failregex =变量中设置多个规则)。
答案 0 :(得分:3)
对我来说,以下是Plesk 10.4。
proftpd.include:
ExtendedLog /var/log/proftpd/auth.log AUTH auth
LogFormat auth "%v %t \"%r\" [%h] %s"
/etc/fail2ban/filter.d/proftpd.conf:
failregex = \[<HOST>\]\s+530$